Ut 2

Descargar como pptx, pdf o txt
Descargar como pptx, pdf o txt
Está en la página 1de 239

UT 2.

Gestión de dominios en Windows


Server

“Una manera de hacer Europa”. Cofinanciación a


cargo del Programa Operativo del FSE 2014-2020
para Extremadura gastos de Ciclos Formativos de
SOR - Francisco Javier Rufo
Grados Medio y Superior.
1. Conceptos básicos de dominios
1. Servicio de directorio y dominio.
2. Elementos del servicio de directorio.
3. Funciones del dominio.
4. Objetos que administra un dominio.
5. Creación de agrupaciones de elementos: Nomenclatura.
6. Estructura.
7. Esquema.

SOR - Francisco Javier Rufo


1.1. Servicio de directorio y de dominio
● Un directorio es una estructura jerárquica que almacena
información acerca de los objetos existentes en la red y un
servicio de directorio proporciona métodos para
almacenar los datos del directorio y ponerlos a disposición
de los administradores y los usuarios de la red.

SOR - Francisco Javier Rufo


● Características:
○ Modelo de nombres jerárquico: Se usa el modelo de contenedor para
reducir ambigüedad entre nombres y simplificar la administración. Los
nombres de los objetos forman un árbol.
○ Capacidades de búsqueda extendidas: DS proporcionan capacidades
de búsqueda robustas, permitiendo búsquedas en atributos individuales
de los elementos.
○ Modelo de información distribuida.
○ Datos replicados: Los directorios soportan replicación, lo que hace los
sistemas más accesibles y resistentes a los fallos.
○ Esquema extensible: El esquema describe los datos almacenados en el
directorio. Normalmente, los DS permiten la extensión del esquema, por lo
que nuevos tipos de datos pueden ser añadidos al directorio.
SOR - Francisco Javier Rufo
1.2. Elementos del servicio de directorio
● Dominio: Estructura fundamental. Permite agrupar todos los objetos
que se administran de forma estructurada y jerárquica.
● Unidad organizativa (OU): Unidad jerárquica inferior al dominio.
Puede estar compuesta por objetos y otras OU.
● Árbol (Tree). El árbol consiste en dominios de un bosque que
comparten un espacio de nombres DNS contiguo.
● Bosque (Forest). Un bosque se compone de uno o más dominios, los
cuales comparten una configuración común, esquema y Catálogo
Global.
● Objetos: Representación de un recurso de red (equipos, usuarios,
directivas de seguridad, etc.). Contiene atributos que lo definen.
SOR - Francisco Javier Rufo
1.3. Funciones del directorio
Los equipos que funcionan como servidores en un dominio pueden tener una
de las funciones siguientes: servidor miembro o controlador de dominio. Un
servidor que no se encuentre en ningún dominio es un servidor independiente.
● Servidores miembro: Es un equipo que:
○ Pertenece a dominio.
○ No es controlador de dominio.
○ No precisa inicios de sesión.
○ Suelen operar como: servidores de ficheros, de aplicaciones, bases de datos,
web, certificados, seguridad, etc.
● Controladores de dominio:
○ Almacena copia de lectura y escritura de la base de datos del dominio.
○ Autentica usuarios.

SOR - Francisco Javier Rufo


1.4. Objetos que administra un dominio
● Usuario: Usuario de la red. Funciona como almacén de
información de identificación y autenticación.
● Equipo: Representa un equipo de la red y proporciona la
cuenta de máquina necesaria para que el sistema inicie
sesión en el dominio.
● Grupo: Objeto contenedor que representa un agrupación
lógica de usuarios, equipos y otros grupos que es
independiente de la estructura del árbol del dominio.

SOR - Francisco Javier Rufo


● Unidad organizativa: Contenedor utilizado para crear
agrupaciones lógicas de equipo, usuario y grupo.
● Contacto: Usuario externo al dominio para propósitos
específicos como el envío de correo electrónico. No
contiene credenciales para iniciar sesión en el dominio.
● Carpeta compartida: Proporciona acceso de red a una
carpeta del sistema.
● Impresora compartida: Proporciona acceso de red a una
impresora compartida.
SOR - Francisco Javier Rufo
1.5. Creación de agrupaciones de elementos: Nomenclatura

● Cada elemento está representado por un nombre ,


denominado «Nombre Distinguido (DN)», que identifica al
objeto dentro del dominio. El «Nombre Distinguido Relativo
(RDN)» identifica al objeto dentro de su contenedor.
● Los elementos se nombran añadiendo el nombre del objeto,
seguido del nombre de los contenedores de forma
ascendente.

SOR - Francisco Javier Rufo


● CN=Fernando Pérez, OU=Ventas,
OU=Finanzas, DC=MiEmpresa
● CN = Common Name (Nombre del objeto dentro
del contenedor)
● OU = Unidad Organizativa.
● DC = Domain Component (dominio).
SOR - Francisco Javier Rufo
LDAP
● LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios) que
hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y
distribuido para buscar diversa información en un entorno de red. LDAP también se considera una  base de
datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas.
● Habitualmente, almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque
es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red,
permisos, certificados, etc.). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de
información sobre una red.
● Implementaciones:
○ OpenLDAP
○ Active Directory
○ Apache Directory Server
○ …

SOR - Francisco Javier Rufo


1.6. Estructura
Estructura lógica
● Permite localizar recurso por su nombre y no por localización
física.
● Dominio: Unidad central de la estructura. Equipos que
comparten la base de datos del servicio de directorio y se
administran de forma conjunta.
● Representa límite para autenticación, replicación y políticas o
directivas.
● Debe ser único y debe ser registrado en DNS.
● En una red puede haber varios dominios.
SOR - Francisco Javier Rufo
● Unidades organizativas: Contenedores que permiten
ordenar los recursos dentro de un dominio.
● Sólo contienen objetos que pertenecen al dominio.
● Permiten agrupar objetos similares y establecer políticas de
seguridad o configuraciones.
• Miembros centro (UO)
• Profesores (UO)
• ESO (UO)
• Tutor1
• Bachillerato (UO)
• Prof1
• Prof2
• Ciclos (UO)
• ProfA
• Alumnos (UO)

SOR - Francisco Javier Rufo


● Árbol de dominio: Agrupación de uno o más dominios que
comparten espacio de nombres continuo.
● Nombre de dominio secundario es el nombre relativo al
dominio agregado al nombre principal
● Ejemplo:
○ aso.es  win.aso.es, lin.aso.es, clase.aso.es….
● Dominios del árbol comparten esquema común y catálogo
global y se conectan por relaciones de confianza.
● Creación de nuevo dominio crea árbol  dominio principal del
árbol.
SOR - Francisco Javier Rufo
● Bosques de dominio: Posee un único dominio raíz que es
el primer dominio creado.
● Nombres pueden ser discontinuos o continuos:
○ Continuos: Mismo árbol de dominio.
○ Discontinuo: Varios árboles de dominio.
● Un único dominio forma árbol y bosque.

SOR - Francisco Javier Rufo


smr.es

asir.es

segundo.
dns.asir. smr.es
es

SOR - Francisco Javier Rufo


Estructura física
● Controlador de dominio: Almacena la copia del directorio de
dominio. Puede haber varios controladores, cada uno con una copia
completa.
● Cambios en un controlador se replican al resto.
● Administran todas las facetas de interacción de los usuarios en el
dominio.
● Replicación por frecuencia con modelo multimaestro:
○ Ningún controlador es el maestro, todos son iguales.
○ Cualquier servidor puede procesar cambios y replicar.
● Replicación  Tolerancia a fallos
SOR - Francisco Javier Rufo
● Sitio: Agrupación de equipos conectados físicamente.
● Independiente de la lógica de dominio.
● No confundir con dominio:
○ Dominio: Agrupación lógica de usuarios y equipos.
○ Sitio: Agrupación física de equipos.
● Debemos tener al menos un controlador en cada sitio.

SOR - Francisco Javier Rufo


● Almacén de datos: Información sobre objetos del dominio (cuentas usuario, grupos,
equipos, etc.).
● Replicación multimaestro.
● Catálogo global: Almacén central de información de los objetos del directorio de los
dominios del bosque.
● Contiene copia completa de todos los objetos.
● Predeterminado  Primer controlador de dominio creado se crea en catálogo global y
es servidor de catálogo global.
● Funciones:
○ Resuelve búsquedas de información
○ Resuelve nombres principales de usuario de otros dominios del bosque
○ Información sobre grupos universales
○ Valida referencias a objetos de otros dominios del bosque
○ Responde preguntas sobre objetos de cualquier dominio del bosque
SOR - Francisco Javier Rufo
1.7. Esquema
● Define los objetos y tipos de datos que se pueden
almacenar en el directorio.
● Definiciones:
○ Clase: Describe las características de los objetos del directorio.
Colección de atributos
○ Atributos
● Se almacena como un objeto del directorio
● Proporciona clases y atributos por defecto
● Es ampliable

SOR - Francisco Javier Rufo


2. Gestión de dominios con Windows
Server
● Instalación de un servicio de directorio.
● Configuración básica.
● Conexión de clientes a dominio.
● Herramientas de administración de dominio.
● Controlador de dominio replicado
● Relaciones de confianza entre dominios.
● Árboles de dominio y bosques.
● Degradación y eliminación de dominios.

SOR - Francisco Javier Rufo


2.1. Instalación de un servicio de
directorio
● Antes de comenzar:
○ Servidor debe tener IP fija.
○ Establecer nombre para equipo servidor

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
2.2. Configuración básica
● Cuando añadimos el rol de Servicio de Directorio, se llevan
a cabo algunas elecciones que permiten influir en la
configuración del directorio.
● A continuación veremos algunas de ellas.

SOR - Francisco Javier Rufo


● Operación de implementación:
○ Agregar un controlador de dominio a un dominio existente:
Permite establecer un dominio replicado.
○ Agregar un nuevo dominio a un bosque existente: Permite
añadir un dominio nuevo en uno de los árboles del bosque.
○ Agregar un nuevo bosque: Permite crear un bosque nuevo,
siendo el dominio indicado el dominio raíz.

SOR - Francisco Javier Rufo


● Nivel funcional del nuevo bosque y dominio: Los niveles funcionales
determinan las capacidades de dominio o bosque de Servicios de
dominio de Active Directory (AD DS) que están disponibles. También
determinan los sistemas operativos Windows Server que se pueden
ejecutar en los controladores de dominio del dominio o del bosque. Sin
embargo, los niveles funcionales no afectan a los sistemas operativos
que se pueden ejecutar en las estaciones de trabajo y los servidores
miembros que están unidos al dominio o al bosque. Conviene
establecerlos a los niveles más altos posibles.
● Servidor de DNS:  Permite crear la infraestructura DNS del bosque
durante la instalación de AD DS. No marcarla si tenemos previsto que
este servidor sea servidor DNS por tenerlo en otro equipo.
SOR - Francisco Javier Rufo
● Catálogo global: El catálogo global es el conjunto de todos los objetos de un bosque de los Servicios
de dominio de Active Directory (AD DS). Un servidor de catálogo global es un controlador de dominio
que almacena una copia completa de todos los objetos del directorio para su dominio host y una copia
parcial de solo lectura de todos los objetos del resto de dominios del bosque. Los servidores del
catálogo global responden a las consultas del catálogo global.
● Controlador de dominio de sólo lectura (RODC):Un controlador de dominio de sólo lectura (RODC) es
un nuevo tipo de controlador de dominio. Con un RODC, las organizaciones pueden implementar
fácilmente un controlador de dominio en ubicaciones en las que no se puede garantizar la seguridad
física. Un RODC hospeda particiones de sólo lectura de la base de datos de Servicios de dominio de
Active Directory. Salvo las contraseñas de cuenta, un RODC contiene todos los objetos y atributos de
Active Directory que se guardan en un controlador de dominio de escritura. No obstante, no se pueden
efectuar cambios en la base de datos almacenada en el RODC. Los cambios deben efectuarse en un
controlador de dominio de escritura y después deben volver a replicarse en el RODC.Las aplicaciones
locales que solicitan acceso de lectura al directorio pueden obtenerlo. Las aplicaciones del Protocolo
ligero de acceso a directorios (LDAP) que solicitan acceso de escritura reciben una respuesta de
referencia a LDAP, que les dirige a un controlador del dominio de escritura, normalmente ubicado en un
sitio concentrador.

SOR - Francisco Javier Rufo


2.3. Conexión de clientes
● Antes de empezar:
○ Los equipos tienen conectividad entre ellos.
■ IP fija
■ Servidor DHCP externo
■ Servidor DHCP Virtualbox
■ ….
○ El cliente tiene como servidor DNS la IP del controlador de
dominio.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
2.4. Herramientas de administración de dominios

SOR - Francisco Javier Rufo


2.4.1.Backup de Active Directory
● La característica “Copias de seguridad de Windows Server”
debe estar instalada.
● Utilizar la herramienta “Copias de seguridad de Windows
Server”.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
Backup
● Podemos realizar una copia de seguridad normal (“Hacer
copia de seguridad”) o programada (“Programar copia de
seguridad”).
● Para copia normal:
○ Seleccionar “Copia de seguridad local”  “Hacer copia de
seguridad”.
○ Seleccionar “Personalizada” para elegir sólo los datos de interés.
○ Agregar los elementos que deseemos.
■ Estado del sistema.
○ Seleccionar dónde deseamos almacenar la copia de seguridad
(no puede ser una unidad que contiene datos a salvaguardar).
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
Restaurar
● Existen 2 opciones:
○ No autoritativa: El controlador contacta con otros controladores
para obtener las actualizaciones desde la fecha del backup.
○ Autoritativa: La información del controlador restaurado será
replicada a los demás.

SOR - Francisco Javier Rufo


● Al iniciar el sistema, presionar F8 y seleccionar “Menú de opciones
avanzadas de Windows”  “Directory Services Repair Mode”.
● Iniciar sesión con el Administrador local (el controlador de dominio
no estará disponible).
● Ir a “Herramientas”  “Copias de seguridad de Windows Server”.
● Seleccionar “Recuperar” y elegir la ubicación de la copia de
seguridad.
● Seleccionar “Estado del sistema”.
● Seleccionar ubicación donde se desea restaurar.
○ Indicar si deseamos realizar una restauración autoritativa.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
2.4.2. Administración de equipos
● Permite administrar y configurar opciones básicas del
controlador de dominio.
● Permite administrar:
○ Usuarios y grupos locales (desaparecen al crear dominio).
○ Almacenamiento.
○ Recursos compartidos.
○ Tareas programadas.
○ ….

SOR - Francisco Javier Rufo


● Herramientas del sistema:
○ Programador de tareas: Permite programar la ejecución de
tareas.
○ Visor de eventos: Permite analizar el comportamiento del sistema
y los diferentes sucesos que se producen.
○ Carpetas compartidas: Recursos compartidos en el equipo.
○ Rendimiento: Recursos consumidos por el equipo.
○ Administrador de dispositivos: Permite gestionar el HW del
equipo.

SOR - Francisco Javier Rufo


● Almacenamiento: Permite gestionar el almacenamiento del
equipo.
● Servicios y aplicaciones: Gestiona los servicios que se
están ejecutando en el equipo.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
2.4.3. DNS
● AD se basa en DNS para su funcionamiento.
● Permite gestionar el servicio de DNS.
● En caso de no existir DNS ya implantado, AD realiza la
instalación y configuración del rol.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
2.4.4. Dominios y confianzas de AD
● Permite establecer las relaciones de confianza.
● Útil cuando tenemos diferentes dominios y deseamos
administrarlos desde uno, de forma centralizada.
● Varios dominios se administran como uno sólo.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
2.4.5. Usuarios y equipos AD
● Permite administrar:
○ Usuarios y grupos
○ Equipos del dominio
○ Unidades organizativas
○ Recursos compartidos
○ Impresoras
○ ….
● Elementos pertenecientes al dominio.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
2.4.6. Centro de administración de AD
● Permite administrar objetos del directorio.
● Basado en PowerShell, permite administrar objetos mediante navegación
controlada por datos y navegación orientada por tareas.
● Algunas tareas:
○ Crear nuevas cuentas de usuario o administrar las cuentas de usuario existentes.
○ Crear grupos nuevos o administrar los grupos existentes.
○ Crear nuevas cuentas de equipo o administrar las cuentas de equipo existentes.
○ Crear nuevos contenedores y unidades organizativas (OU) o administrar las OU
existentes.
○ Conectar uno o varios dominios o controladores de dominio en la misma instancia del
Centro de administración de Active Directory, y ver o administrar la información de
directorio de dichos dominios o controladores de dominio.
○ Filtrar datos de Active Directory con la función de búsqueda mediante generación de
consultas
SOR - Francisco Javier Rufo
● Control de Acceso Dinámico (DAC)
○ Característica nueva aparecida en Windows 2012.
○ Permite personalizar la autorización para acceder a los recursos
de servidores aplicando lógica condicional en base a peticiones
de los usuarios/dispositivos y etiquetas de metadatos.
○ Antes se basaban en los permisos NTFS, ahora nos podemos
basar en propiedades de recursos y peticiones.

SOR - Francisco Javier Rufo


● Autenticación:
○ Authentication Policies: Define las propiedades del tiempo de
vida del protocolo de ticket de cesión de tickets (TGT) y las
condiciones de control de acceso de cuentas tipo.
○ Authentication Policy Silos: Controla qué cuentas pueden ser
restringidas por el silo y define las políticas de autenticación de
los miembros.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
2.5. Controlador de dominio replicado
● No existe DC primario y secundario  Todos son
principales, reciben cambios y los aplican a los pares.
● Replicación en dos canales:
○ Canal DFSR:
■ Para la replicación se utiliza DFSR (Distributed File Systems
Replication).
■ Se replica la información almacenada en SYSVOL y
NETLOGON.
○ Canal RPC:
■ Replica la DB (NTDS.DIT).

SOR - Francisco Javier Rufo


1. Partimos de la existencia de un DC ya preparado.
2. En el servidor que albergará la réplica, instalamos el rol de
Active Directory.
3. Los servidores tienen conectividad (están en misma red, el
nuevo tiene acceso a DNS del existente, etc.).
4. Al promover, seleccionar “Agregar controlador de dominio a un
dominio existente”.
○ Indicar dominio y credenciales.
5. Indicar desde qué DC se replicará a éste, junto con otras
opciones de configuración.
SOR - Francisco Javier Rufo
DC existente

SOR - Francisco Javier Rufo


Replicación

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
2.6. Relaciones de confianza entre
dominios
● Relación de confianza facilita a los usuarios de un dominio
el acceso a los recursos de otro diferente.
● El dominio que confía ofrece los recursos, y el dominio de
confianza es donde se autentican los usuarios que
accederán a los recursos.

SOR - Francisco Javier Rufo


● Tipos de relaciones:
○ Unidireccional: El dominio B confía en A  los usuarios de A
podrán acceder a los recursos de B, pero no a la inversa.
○ Bidireccional: B confía en A y viceversa.
○ Transitiva: A confía en B, y B confía en C  los usuarios de C
pueden tener acceso a los recursos de A.
● Al crear relaciones de confianza, hay que configurarlas en
ambos lados.

SOR - Francisco Javier Rufo


● Cada relación de confianza se representa con un Objeto de
Dominio de Confianza (TDO, Trusted Domain Object), que,
como mínimo, incluye:
○ La transitividad.
○ La direccionalidad de la confianza.
○ Nombre de los dominios recíprocos.

SOR - Francisco Javier Rufo


● Tipos de confianza:
○ Externa: Relaciones no transitivas unidireccionales o bidireccionales.
Para dominios que no estén unidos por una confianza de bosque.
○ Dominio Kerberos: Permite establecer relaciones entre dominios
Windows 2012 R2 y dominios que no sean Windows pero que usen
Kerberos. Pueden ser transitivas o no, unidireccionales o
bidireccionales.
○ De bosque: Permiten compartir recursos entre diferentes bosques.
Son transitivas, y pueden ser uni o bidireccionales.
○ Directa: Para mejorar el inicio de sesión entre dos dominios de
árboles diferentes de un bosque. Son transitivas y pueden ser uni o
bidireccionales.
SOR - Francisco Javier Rufo
2.7. Árboles de dominio y bosques

SOR - Francisco Javier Rufo


Agregar un subdominio
1. Establecer configuración de red del nuevo servidor de forma
que tenga conectividad con el controlador de dominio principal.
2. Agregar el rol “Servicios de dominio de Active Directory”.
3. A la hora de promocionar el dominio:
1. Seleccionar la opción “Agregar un nuevo dominio a un bosque
existente”.
2. En tipo de dominio, seleccionar “Dominio secundario”.
3. Introducir el dominio principal y el nombre del nuevo dominio.
4. Resto de opciones son similares a las de creación de un bosque
nuevo.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
● En este caso, las relaciones de confianza se crean de forma
automática.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
Agregar un nuevo árbol
1. Establecer configuración de red del nuevo servidor de forma que
tenga conectividad con el controlador de dominio principal.
2. Agregar el rol “Servicios de dominio de Active Directory”.
3. A la hora de promocionar el dominio:
1. Seleccionar la opción “Agregar un nuevo dominio a un bosque
existente”.
2. En tipo de dominio, seleccionar “Dominio de árbol”.
3. Introducir el nombre del bosque (primer dominio creado) y el nombre del
nuevo dominio.
4. Resto de opciones son similares a las de creación de un bosque nuevo.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
2.8. Degradación y eliminación de
dominios
● Al eliminar DA de un DC, sólo se perderá toda la información
almacenada cuando el DC es el último.
1. Administrar  Quitar roles y funciones.
2. Deseleccionar “Servicios de dominio de AD”
3. Al mostrar error durante el proceso de validación, hacer clic
en “Disminuir el nivel de este controlador de dominio”.
4. Indicar que se trata del último controlador de dominio, si
necesario, y seleccionar la eliminación del controlador de
dominio.
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
3. Cuenta de usuario y grupo en sistemas
Windows

SOR - Francisco Javier Rufo


3.1. Creación de cuenta de usuario
● Usaremos la herramienta Usuarios y Equipos de Active
Directory.
● Herramientas  Usuarios y equipos de Active Directory

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
● Haciendo clic derecho sobre “Users”, seleccionamos
NuevoUsuario y rellenamos los datos.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
● Una vez introducidos los datos identificativos del usuario, se
solicita la contraseña y diferentes opciones para la cuenta:
○ El usuario debe cambiar la contraseña: Cuando el usuario inicia
sesión por primera vez, se le obliga a cambiar la contraseña
establecida.
○ El usuario no puede cambiar la contraseña.
○ La contraseña nunca expira.
○ La cuenta está deshabilitada: El usuario no podrá iniciar sesión,
aunque la cuenta está creada.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
3.2. Modificación de cuenta de usuario
● Haciendo doble clic en el usuario deseado, obtenemos la
ventana de propiedades.

SOR - Francisco Javier Rufo


PESTAÑA DESCRIPCIÓN
General Datos identificativos del usuario
Dirección Dirección física del usuario
Cuenta Nombre de inicio de sesión, restricciones de inicio, opciones de contraseña y
caducidad, horas de inicio de sesión.
Perfil Ruta de acceso al perfil de usuario
Teléfonos Teléfonos del usuario
Organización Puesto, departamento, etc.
Control remoto Grado con el que el administrador puede ver o controlar las sesiones de servicios
de terminal del usuario.
COM+ Participación del usuario en las particiones de disco.
Miembro de Grupos a los que pertenece.
Marcado Acceso telefónico remoto del usuario al servidor a través de módem.
Entorno Servicios de Terminal Server de Usuario.
Sesiones Desconexión y reconexión del servicio de Terminal Server.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
3.3. Creación de cuentas para equipos
● Los equipos se encuentran en el contenedor “Computers”.
● Por defecto, cada equipo que se conecta al dominio es
añadido.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
● Para añadir un equipo, debemos hacer clic con el botón
derecho y seleccionar “NuevoEquipo”.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
● Haciendo clic derecho sobre un equipo, y seleccionando
“Propiedades”, podemos acceder a las propiedades del
equipo.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
3.4. Gestión de grupos
● Un grupo de usuarios es una colección de cuentas de
usuario que tienen en común los mismos derechos de
seguridad.
● Una cuenta de usuario puede ser miembro de más de un
grupo.

SOR - Francisco Javier Rufo


● Existen diferentes tipos de grupos:
○ Locales: Son definidos y sólo se utilizan en el equipo local.
○ Seguridad: Pueden tener asociados descriptores de seguridad.
○ Distribución: Grupos utilizados como listas de distribución de
correo electrónico. No pueden tener asociados descriptores de
seguridad.

SOR - Francisco Javier Rufo


● Los grupos pueden tener ámbitos diferentes (ser válidos en
diferentes áreas):
○ Grupos locales de dominio: Utilizados para conceder permisos en un
único dominio. Sólo puede incluir cuentas de usuario y grupo del
dominio.
○ Grupos globales: Utilizados para conceder permisos a objetos en
cualquier dominio del árbol o bosque de dominios. Sólo se pueden
incluir cuentas y grupos del dominio en el que están definidos.
○ Grupos universales: Utilizados para conceder permisos a gran escala
a lo largo de un árbol o bosque de dominios. Se pueden incluir cuentas
de usuario, grupos globales y otros grupos universales de cualquier
dominio del árbol o bosque de dominios en el que están definidos.
SOR - Francisco Javier Rufo
● Utilizamos la herramienta “Usuarios y equipos Active
Directory”.
● Haciendo clic derecho en el contenedor deseado,
seleccionamos “NuevoGrupo”.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
● Tras rellenar los datos correspondientes, el grupo queda
creado.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
● Haciendo clic derecho sobre el grupo, y seleccionando la
opción “Propiedades” podemos configurar las diferentes
opciones del grupo.
○ General: Permite cambiar las opciones generales del grupo.
○ Miembros: Permite definir los usuarios/grupos que conforman el
grupo. Pulsando sobre el botón “Agregar” añadimos los
usuarios/grupos al grupo.
○ Miembro de: Permite indicar los grupos a los que pertenece.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
3.5. Tipos y ámbitos

SOR - Francisco Javier Rufo


Ámbitos
● El ámbito de un grupo establece su alcance, es decir, en
qué partes de la red puede utilizarse, y el tipo de cuentas
que pueden formar parte de él. En ese sentido, pueden
pertenecer a una de las siguientes categorías:
○ Ámbito local
○ Ámbito global
○ Ámbito universal

SOR - Francisco Javier Rufo


● Ámbito local: Entre sus miembros pueden encontrarse uno
o varios de los siguientes tipos de objetos:
○ Cuentas de usuario o equipo.
○ Otros grupos de ámbito local.
○ Grupos de ámbito global.
○ Grupos de ámbito universal.
● Las cuentas o grupos contenidos tendrán necesidades de
acceso similares dentro del propio dominio. Por ejemplo, los
que necesiten acceder a una determinada impresora.

SOR - Francisco Javier Rufo


● Ámbito global: Sólo pueden incluir otros grupos y cuentas
que pertenezcan al dominio en el que esté definido el propio
grupo.
● Los miembros de este tipo de grupos pueden tener
permisos sobre los recursos de cualquier dominio dentro del
bosque.
● Sin embargo, estos grupos no se replican fuera de su propio
dominio, de modo que, la asignación de derechos y
permisos que alberguen, no serán válidas en otros dominios
del bosque.
SOR - Francisco Javier Rufo
● Ámbito universal: Entre sus miembros pueden encontrarse
cuentas o grupos de cualquier dominio del bosque, a los que
se les pueden asignar permisos sobre los recursos de
cualquier dominio del bosque.

SOR - Francisco Javier Rufo


Tipos de grupos
● Existen dos tipos de grupos en Active Directory:
○ Grupos de distribución
○ Grupos de seguridad

SOR - Francisco Javier Rufo


● Grupos de distribución: Se utilizan en combinación con
programas como Microsoft Exchange Server, para crear
listas de distribución de correo electrónico.
● Estos grupos no disponen de características de seguridad,
por lo que no pueden aparecer en las listas de control de
acceso discrecional (DACL, Discretionary Access Control
Lists).

SOR - Francisco Javier Rufo


● Grupos de seguridad: Permiten asignar permisos a las cuentas de usuario, de equipo y
grupos sobre los recursos compartidos. Con los grupos de seguridad podemos:
○ Asignar derechos de usuario a los grupos de seguridad del Directorio Activo. De esta
forma, podemos establecer qué acciones pueden llevar a cabo sus miembros dentro
del dominio (o del bosque). Como veremos después, durante la instalación del
Directorio Activo, se crean grupos de seguridad predeterminados que facilitan al
administrador la delegación de ciertos aspectos de la administración (como, por
ejemplo, las copias de seguridad) en otros usuarios del sistema.
○ Asignar permisos para recursos a los grupos de seguridad. Lo que nos permite definir
quién accede a cada recurso y bajo qué condiciones (control total, sólo lectura, etc.)
También se establecen permisos de forma predeterminada sobre diferentes objetos
del dominio para ofrecer distintos niveles de acceso.

SOR - Francisco Javier Rufo


3.6. Usuarios y grupos predeterminados del sistema

● Windows Server instala usuarios y grupos predeterminados para


proporcionar configuraciones básicas.
● Se crean 3 tipos de cuentas:
○ Integradas: Cuentas de usuario y grupo instaladas con el SO,
aplicaciones y servicios.
■ LocalSystem: Utilizada para ejecutar procesos del sistema y
administrar tareas.
■ LocalService: Para ejecutar servicios que necesitan privilegios y
derechos de inicio de sesión adicionales en un sistema local.
■ NetworkService: Para ejecutar servicios que necesitan privilegios y
derechos de inicio de sesión adicionales en un sistema local y en la
red.
SOR - Francisco Javier Rufo
○ Predefinidas: Cuentas de usuario y grupo instaladas con el SO.
■ Administrador: Acceso total. No se puede eliminar ni
deshabilitar.
■ ASPNET: Permite ejecutar procesos temporales ASP.NET.
■ Guest: Para usuarios que necesitan acceder de forma
ocasional al sistema.
■ Support: Tiene derecho a iniciar sesión como tarea por
lotes.
○ Implícitas: Los grupos especiales creados implícitamente al
acceder a los recursos de red; también conocidas como
identidades especiales.

SOR - Francisco Javier Rufo


4. Unidades organizativas
● Las Unidades Organizativas (en inglés, Organizational Units o,
simplemente, OUs) son contenedores del Directorio Activo que
pueden contener usuarios, equipos, grupos y otras unidades
organizativas.
● A una Unidad Organizativa le podemos otorgar valores de
configuración de directiva de grupo o podemos delegar sobre ella
una parte de la autoridad administrativa. De esta forma, un usuario
puede tener autoridad para administrar una determinada unidad
organizativa y no tenerla para el resto. Esto quiere decir que
podemos definir contenedores que representen la organización
lógica de nuestra red.
SOR - Francisco Javier Rufo
Creación de Unidad Organizativa
● Dentro del contenedor deseado, hacer clic derecho y
seleccionar “NuevoUnidad organizativa”.
● Podemos crear UOs dentro de otras.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
Desplazar objetos entre UOs
● Basta con arrastrar el elemento de su origen a la nueva UO.
● También podemos seleccionar los elementos, hacer clic
derecho y seleccionar “Mover”.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
Eliminar UO
● Seleccionar la UO, hacer clic derecho y seleccionar
“Eliminar”.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
● Si hemos seleccionado la protección contra eliminado
accidental, se nos mostrará un mensaje de error.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
● Para eliminar la UO, deberemos activar las características
avanzadas en “VerCaracterísticas avanzadas”

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
● Ahora, haremos clic derecho en la UO deseada y
seleccionaremos “Propiedades”.
● En la pestaña “Objeto”, desmarcaremos la casilla “Proteger
objeto contra eliminación accidental”.
● Ahora ya podremos eliminar normalmente la UO.

SOR - Francisco Javier Rufo


SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo
SOR - Francisco Javier Rufo

También podría gustarte